Aujourd’hui, une nouvelle enquête [la deuxième enquête annuelle] menée par Cybersecurity Insiders et commandée par Zscaler a révélé que les professionnels de la cybersécurité s’accordent sur un point : les VPN font courir à leurs entreprises le risque d’être attaquées.

Et ils ont de bonnes raisons de s’inquiéter.

Les VPN sont presque aussi vieux qu’Internet lui-même. Mais cette première forme de technologie d’accès à distance a été exposée à d’importantes vulnérabilités ces dernières années. En 2021, des cyberacteurs malveillants ont exploité régulièrement et de manière agressive des VPN non corrigés, selon la Cybersecurity and Infrastructure Security Agency (CISA) du ministère de la sécurité intérieure.

Les VPN sont devenus des cibles faciles, et les hackers l’ont remarqué.

Les vieilles habitudes ont la vie dure

Pendant près de trente ans, les sociétés se sont appuyées sur les VPN d’accès à distance. Conçu sur le modèle de sécurité cloisonnée, le VPN fonctionnait bien lorsque les applications résidaient dans le data center. Aujourd’hui, dans un monde axé sur le cloud et la mobilité, les utilisateurs et les applications sont sortis du périmètre de l’entreprise, tandis que la sécurité de l’accès à distance reste liée au réseau de l’entreprise.

Les défis engendrés par l’architecture de sécurité et de réseau traditionnelle sont omniprésents et persistants, tout particulièrement lorsqu’ils sont profondément enracinés dans les data centers et les processus métiers des entreprises, comme le VPN. Cela peut expliquer pourquoi 95 % des entreprises continuent d’utiliser des VPN, même si elles savent qu’ils constituent des cibles privilégiées pour les cybercriminels.

Un VPN est la porte d’entrée d’Internet vers votre réseau

Les VPN constituent un vecteur d’accès au réseau attrayant pour les hackers, car ils leur permettent d’obtenir un accès initial au réseau de l’entreprise et de se propager latéralement pour porter atteinte à des ressources ou perturber des opérations comme ce fut le cas lors de l’attaque de Colonial Pipeline en 2021. De par leur conception, les VPN offrent aux utilisateurs un accès complet au protocole IP du réseau. Les acteurs malveillants peuvent exploiter ce protocole ou l’utiliser à des fins de reconnaissance. Les hackers peuvent s’en servir pour analyser les réseaux et les data centers, au sein desquels ils peuvent orienter des menaces telles que les ransomwares, les malwares, les attaques d’applications Web et les attaques DDoS vers des cibles de grande valeur.

Les professionnels de la sécurité ont constaté une augmentation des exploits ciblant les travailleurs hybrides et distants, et 71 % d’entre eux craignent que le VPN ne mette en péril leur capacité à sécuriser leurs réseaux.

Le VPN fait trop confiance et est trop coûteux

Selon l’enquête, les entreprises sont confrontées à deux défis principaux concernant leur VPN actuel :

1. Utilisateurs placés sur le réseau. Le VPN exige de donner aux employés et aux tiers un accès direct au réseau de l’entreprise. Dès qu’un utilisateur accède au réseau via un VPN, il est considéré comme « fiable » sans que l’on sache s’il a atteint un niveau suffisant de confiance, et se voit accorder un accès latéral.

2. Coûts élevés et complexité encore plus élevée. Le coût d’une pile complète d’appliances de passerelles VPN augmente à mesure que les limitations de latence et de capacité obligent les entreprises à répliquer les piles dans chacun de leurs data centers. Il se fait que la majorité des entreprises (61 %) disposent de trois passerelles VPN ou plus, ce qui complique encore la gestion et la mise à l’échelle.

Le statu quo échoue, le Zero Trust fait bouger les choses

La plupart des professionnels de la sécurité (71 %) estiment que les VPN présentent un niveau de risque inacceptable pour leur entreprise et recherchent des alternatives plus sûres, basées sur le Zero Trust. Selon Cybersecurity Insiders, 80 % des entreprises adoptent ou ont adopté le Zero Trust cette année, soit une hausse de 12 % par rapport à l’année dernière.

Raisons pour lesquelles les entreprises remplacent leurs VPN par ZTNA

D’ici 2025, au moins 70 % des nouveaux déploiements d’accès à distance seront assurés par ZTNA plutôt que par des VPN, contre moins de 10 % fin 2021, selon Gartner.

Chez Zscaler, nous avons aidé des milliers d’entreprises telles que National Oilwell & Varco, Sanmina et West Fraser à migrer leur VPN traditionnel vers notre service d’accès réseau Zero Trust de nouvelle génération : Zscaler Private Access.

Si vous cherchez un moyen de compléter ou de remplacer progressivement votre VPN sur site ou hébergé dans le cloud, cette page pourrait s’avérer utile. En attendant, restez informés des vulnérabilités de votre VPN et consultez ces ressources indispensables :

· 10 statistiques sur les risques liés VPN que vous devez connaître - Infographie

· Rapport 2022 sur les risques liés aux VPN par Cybersecurity Insiders et Zscaler